CVE-2026-30522SourceCodester Loan Management System v1.0中存在业务逻辑漏洞。该系统允许管理员创建具有特定逾期罚金率的贷款计划,前端界面限制了“月度逾期罚金”字段不能输入负数,但后端未执行相应的验证机制。经过身份验证的攻击者可以通过操纵HTTP POST请求提交负的罚金率值,从而绕过客户端限制,对系统数据的完整性造成影响。
该漏洞的根本原因在于服务器端缺乏对关键业务参数的有效验证。在Web应用安全模型中,客户端验证(如JavaScript校验或HTML属性限制)仅用于提升用户体验,不能作为安全防线。在受影响的Loan Management System中,当管理员创建贷款计划时,前端限制了罚金率必须为正数。然而,处理该请求的后端接口直接信任了客户端提交的数据,未对 `penalty_rate` 字段进行范围或符号检查。攻击者只需拥有低权限账户,利用Burp Suite等工具拦截创建贷款计划的POST请求,将 `penalty_rate` 修改为负数(例如-10)并重放请求。服务器将成功处理该请求并在数据库中存储非法的负罚金率配置,破坏了业务逻辑的完整性。